[bglug] Sistemistica: Postfix in situazioni particolari.
Manuel
manetta@mediacom.it
Gio 14 Apr 2005 11:30:22 CEST
paradox ha scritto:
> Allora l'architettura della cosa è la seguente:
perfetto!
solo una curiosita'... come mai hai deciso di utilizzare 2 server smtp?
Io lo farei solo se c'e' bisogno di una certa divisione di carico
(il primo filtra e il secondo fa il delivery) ma le puoi tenere
tranquillamente tutte e due in lan o in dmz
Potresti far tranquillamente tutto con uno solo... in lan o in dmz ...
l'importante è che hai un server dns interno che risolve le macchine sia
in lan che in (eventuale) dmz.
oppure ci sono sottigliezze che non colgo o non hai specificato..
> miodominio.tld stmp:SERVER_INTERNO_LAN.tld:25
>
> Cioè: tutto quello che arriva diretto al mio dominio sul server che è a
> "contatto" con internet (cioè quello in DMZ :D) mandalo al server mail
> INTERNO alla LAN. Metto tutto tipo in /etc/postfix/transport e lancio un
> bel postmap /etc/postfix/transport abilitando in main.cf il transport:
> transport_maps = hash:/etc/postfix/transport
esatto, e il relayhost fa messo sul server che hai in LAN, altrimenti
tenterebbe il delivery diretto senza passare da quello in DMZ.
> Stando così le cose ora io dicevo: il server mail ESTERNO (in dmz :D) ha
> IP privato (classe diversa rispetto a quella in LAN) e ha come gateway
> l'FW. Quindi l'inoltro "in internet" delle mail, per il server mail
> esterno (che riceve le mail dal server INTERNO), fila liscio visto che
> recapita la mail al gateway (il FW) con la giusta destinazione.
aspetta: il delivery delle mail e' un conto, le route delle tue zone
private sono tutt'altra cosa.
Non confondere il gateway con la consegna della posta. Il gateway e'
semplicemente la macchina a cui inviare tutti i pacchetti tcp/ip esterni
alla tua rete, non si occupa di dove inviare la posta.
A questo punto, sul server in DMZ hai 2 possibilita':
- delivery diretto
- relayhost verso il server del tuo provider.
io ti consiglio vivamente la seconda, a meno che il tuo provider abbia
problemi di blacklist del suo server (o suoi server).
Se fai il delivery diretto, devi
a) settare BENE le zone dirette e quelle inverse nel DNS
b) far settare correttamente nel dns che gestisce la classe di ip
pubblici che usi la zona inversa dell'IP con cui si presenta in internet
il server in DMZ (nattato dal fw, quindi e' l'ip pubblico del fw)
c) sperare che la tua classe di ip pubblici non sia in qualche blacklist
Inoltre non sono sicuro, ma e' possibile che quando si presenta agli
altri mailserver lo faccia tirando fuori il suo IP PRIVATO di DMZ e
quindi probabilmente il mailserver remoto ti chiude subito la connessione.
A volte mi capita addirittura che al mio si colleghino macchine che si
presentano come "localhost.localdomain (127.0.0.1)" AAARGH !!!
(mix di malconfigurazione tra macchina, postfix, host.conf, hosts e dns)
Come potrei non chiudergli la porta in faccia ??? :-)
Ciao
Manuel
Maggiori informazioni sulla lista
bglug